Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.
- Links zu: Aktiven | Unbeantworteten
- Übersicht
- »
- »
1
#1 02. Juli 2011 19:38
- carolus
- hat von CMSMS gehört
- Registriert: 17. April 2011
- Beiträge: 7
Re:
Ich habe von meinem Provider den Hinweis bekommen, dass unter der Adresse http:// .../tmp/templates_c/* Spam- und Phishing-Seiten verzeichnet sind und diese zu entfernen seien. Sie seien vermutlich über eine Sicherheitslücke in einer Standardsoftware oder es wären durch eine solche Sicherheitslücke die Zugangsdaten dafür erlang worden. Mir fällt auf, dass die config.php ein neues Datum trägt und folgende 1.Zeile hat: if(!defined("GR_HOST_ID")){define("GR_HOST_ID", "index_prx92");}@include_once('/www/htdocs/..../..../cmsmadesimple//modules/functions.php'); Dieses verweist auf eine php-Datei functions.php im Verzeichnis modules gleichen Datums, die nicht lesbar ist. Könnte das der Angriff von außen sein? Wenn ja, wie gehe ich weiter vor, wenn nein, wie finde ich das Problem? Danke. Carolus
Offline
#2 02. Juli 2011 19:50
- cyberman
- Moderator
- Ort: Dohna / Sachsen
- Registriert: 13. September 2010
- Beiträge: 6.741
- Webseite
Re:
Sieht erst mal sehr danach aus ... du hast hoffentlich ein Backup?
Hattest du bei deinen Einstellungen unseren Sicherheits-Thread berücksichtigt?
http://forum.cmsmadesimple.de/viewtopic.php?id=18
Läuft auf dem Host noch andere Software außer CMSMS?
Das templates_c Verzeichnis kannst du löschen, indem du im Backend die Funktion "Zwischenspeicher löschen" verwendest.
Als erstes würde ich die Passwörter für FTP, die Datenbanken und CMSMS ändern ... alles weitere nach deiner Antwort.
1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMSMS
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi
Offline
#3 03. Juli 2011 18:02
- carolus
- hat von CMSMS gehört
- Registriert: 17. April 2011
- Beiträge: 7
Re:
Danke cyberman, habe deine Hinweise befolgt mit Ausnahme die PW für die DB zu ändern, da ich da unsicher bin was alles zu tun ist. Seite ist wieder OK. Die zusätzlichen Sicherungsmaßnahmen hatte ich leider nicht ergriffen, bin aber dabei diese sukzessive zu installieren. Weitere Software läuft in der Tat auf dem Server. carolus
Offline
#4 03. Juli 2011 18:31
- NaN
- Moderator
- Ort: Halle (Saale)
- Registriert: 09. November 2010
- Beiträge: 4.058
Re:
Wenn jemand Zugriff auf die config.php hatte, dann kennt er auch die Zugangsdaten Deiner Datenbank.
Du musst unbedingt alle Passwörter ändern.
D.h. FTP, Datenbank und CMS.
Sonst hast Du bald wieder die gleichen Probleme.
Über die Datenbank kann sich der Angreifer einen eigenen CMS-Account erstellen.
Darüber kann er dann mit dem Filemanager wieder jedes x-beliebige Script hochladen bzw. Deine Sicherheitsvorkehrungen wieder aushebeln.
Module: GBFilePicker, AdvancedContent, FEUMailer
Plugins: AjaxTools, XajaxTools
Sicherheit: Beispiel .htaccess-Datei
Offline
#5 03. Juli 2011 18:56
- cyberman
- Moderator
- Ort: Dohna / Sachsen
- Registriert: 13. September 2010
- Beiträge: 6.741
- Webseite
Re:
Weitere Software läuft in der Tat auf dem Server
Hier mal schauen, ob diese Software zu aktualisieren ist ... und natürlich die neuen Zeilen aus der config.php entfernen.
1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMSMS
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi
Offline
#6 04. Juli 2011 10:54
- rage_all
- arbeitet mit CMSMS
- Ort: Augsburg
- Registriert: 09. März 2011
- Beiträge: 274
Re:
Erstmal mein Beileid, hatte das auch schon - zwei Mal, zwei Mal beim selben Kunden...
Der Angriff bei mir entstand vermutlich durch eine offene Sicherheitslücke eines e-commerce Shops.
Beim Verzeichnisvergleich sind mir weitere Daten aufgefallen, mit ungewöhnlichen oder falschen Dateiendungen (ich vermute, dass ein Script die Datei z.B. von .htm zu .php umbenennt, ausführt / einbindet und danach wieder umbenennt --> bei der Durchsicht fallen solche HTMLs ja nicht auf, vor allem nicht die Verfizierungsseiten, z.B. "google1234567.htm").
Dadurch habe ich ein Script identifiziert, "boff_web_shell.php". Damit war es mir möglich auf alle Verzeichnisse des Servers zuzugreifen, auch die anderer Kunden außerhalb der Quota. Zwar ist mir rätselhaft wie das funktioniert, testhalber hab ich aber (nachdem der Kundenservice negiert hat, dass das möglich ist) auf einem anderen Verzeichnis eine htm gespeichert...
Deswegen bin ich seither immer vorsichtig, wenn jemand sagt, "ich" wurde gehackt ... wer weiß was und wie es beim Hoster liegt...
Mein Rat: Vergleiche das letzte saubere Backup mit einem DIFF-Tool (gibt's jede Menge kostenlos, unter XP ist glaube ich sogar das "windiff.exe" kostenlos dabei) und schau jede Datei mit unterschiedlicher Größe an.
Altes Indianer Sprichwort: "Wo ein weißer Mann ist, sind noch mehr weiße Männer..."
Ich drück Dir die Daumen, dass Du bald wieder sicher online bist.
Meine letzte Konsequenz war die Abschaltung des Shop, nachdem ich schon so viele PHPs deaktivieren musste, dass es eh schon ein Witz war...
Offline
1
- Übersicht
- »
- »